D'autres fonctions largement répandues d'informations parasites incluent 128-bit MD5 de RSA Data Security, Inc., qui est des informations parasites très rapides et généralement mises en application. MD5 est traditionnellement employé pour chiffrer des mots de passe d'utilisateur de Linux (hache le début avec le caractère de "$1$"), pour authentifier des protocoles de cheminement comme RIPv2 et OSPF, pour créer des sommes des binaries dans RPMs, et pour vérifier l'intégrité des dossiers de ports de Free/OpenBSD. Les caractéristiques de MD5 sont disponibles dans RFC 1321. Accueillez les outils de détection d'intrusion comme l'utilisation MD5 de Tripwire (http://www.tripwire.com) de prendre des instantanés des dossiers de système et de les préserver dans une base de données (qui doit être chiffrée) pour déterminer si un quelconque de ces dossiers de système était modifié par des biscuits. D'un pauvre Tripwire homme est la commande de md5sum disponible sur beaucoup UNIX-comme des systèmes. Un prédécesseur de MD5, MD4 est très rapide, mais il était cassé en octobre 1995. Malheureusement, MS-CHAP emploie toujours MD4 hache même dans sa deuxième version, et les protocoles tels que 802.1x EAP-LEAP qui se fondent sur MS-CHAP peuvent être vulnérables aux attaques contre MD4. Depuis 1995, il y a eu des doutes sérieux au sujet de la sécurité de MD5 et d'autres informations parasites 128-bit cryptographiques chiffrent, et l'utilisation au moins de 160-bit hache est recommandée. Vous pouvez vérifier la sécurité de votre MD5 hache à l'aide de l'outil de MD5Crack, disponible pour le téléchargement de http://www.checksum.org/download/MD5Crack (c'est la version compilée de Windows de l'outil ; Le code source d'UNIX peut être téléchargé de http://www.packetstormsecurity.org).
|
|
Indépendamment de SHA-1 et plus haut, il y a d'autres chiffres cryptographiques raisonnablement bloqués d'informations parasites à employer, y compris HAVAL (valeurs de longueur variable d'informations parasites), RIPEMD, et tigre. RIPEMD de l'évaluation de primitifs d'intégrité de course de projet d'EU (MÛRE) se compose de deux processus MD5 parallèles fonctionnant pour cinq séries et produisant des informations parasites 160-bit. RIPEMD est considéré aussi bloqué que SHA-1 et est employé par Nessus en même temps que Twofish. Le tigre a été conçu par l'équipe de développement de serpent et est optimisé pour courir sur les morceaux 64-bit, sur lesquels c'est approximativement 2.8 fois plus rapidement que RIPEMD et 2.5 fois plus rapidement que SHA-1. Le tigre produit des informations parasites 192-bit, bien que moins-bloqué 128- et les variantes 160-bit de ce chiffre existent.
Le bloc commun des chiffres que symétriques peuvent également être employés en tant qu'à sens unique hache à peu d'exceptions (par exemple, blowfish). En fait, pouvoir mettre en application un chiffre symétrique comme informations parasites cryptographiques était l'une des conditions que un candidat d'AES a dû rencontrer. Sachant cryptographique hache le travail, il est facile de voir qu'il n'y a rien surnaturel au sujet d'employer un chiffre symétrique de bloc dans un tel rôle : Fournissez une constante, employez les données d'entrée pour produire des subkeys, et courez. Cependant, il n'y a aucune raison d'employer AES ou MARS, et ainsi de suite, comme informations parasites à sens unique quand les algorithmes cryptographiques spécifiques bien projetés d'informations parasites comme SHA existent.
Des chiffres cryptographiques d'informations parasites sont conçus pour traiter rapidement de grandes quantités de données ; par exemple, hacher des données et les apposer hache aux en-têtes de paquet en marche pendant que les paquets sont envoyés au-dessus du réseau. Le taux de traitement de chiffres cryptographiques d'informations parasites dans MB/sec est généralement comparable au taux de traitement de chiffres de jet tels que RC4 et est 1.5 à 2 fois au-dessus du taux de traitement d'AES. Évidemment, il y a une pénalité d'exécution pour l'usage de plus bloqué, plus grande hache, et MD5 aurait un flux de données plus élevé que le tigre (sur CPUs de 32 bits) ou le SHA-1.
Cryptographique hache sont très bien de soutenir la intégrité des données par l'intermédiaire de l'empreinte digitale de données ou d'identifier des utilisateurs contre des bases de données des mots de passe hachés. Cependant, par eux-mêmes ils n'authentifient pas les données elle-même ; l'attaquant peut changer les données originales avant que le brouillage ait lieu. Une solution possible pour ce problème emploie un HMAC, également appelé un sommaire verouillé de message. Un HMAC n'est rien davantage que des informations parasites cryptographiques et une clef secrète partagée combinées. Ainsi, les données obtiennent chiffrées avant qu'elles soient hachées, et l'attaquant devrait casser la clef symétrique de chiffre après avoir produit du message original des informations parasites ou casser la clef symétrique de chiffre si lui ou elle a accès aux données avant que le brouillage ait lieu. Un exemple du code d'authentification de message spécifiquement conçu pour améliorer la sécurité sans fil est Michael (MIC).
MIC : Plus faible Mais Plus rapidement
Le problème principal produit dans la conception de MIC
développait un HMAC qui fonctionnerait sur le matériel de legs sans
appliquer des sanctions significatives à la sortie et à la latence
de réseau. Les centres serveurs de client peuvent débarquer le
calcul de HMAC à l'ordinateur portatif suffisamment puissant ou même
à l'unité centrale de traitement de PDA, quoiqu'elle soit encore
indésirable ! Ce qui si une compagnie décide de concevoir et
fabriquer un mobilophone 802.11-enabled minuscule ? En outre,
beaucoup de points d'accès ne revendiquent pas la capacité de
traitement haut. Cependant, AP ou un pont sans fil devrait
pouvoir vérifier l'intégrité et l'authenticité des paquets
déviants. Rappelez la structure de SHA avec ses 80 ronds
d'itération et imaginez produire des telles informations parasites
pour chaque paquet envoyé au-dessus du réseau sans fil. Est-ce
que un point d'accès commun ou un PDA pourrait mettre en application
ce processus sans épuisement significatif de ressource ? Pas
très probablement !
Ainsi, un algorithme entièrement nouvel appelé MIC a été conçu par Niels Ferguson pour fournir la vérification d'intégrité de paquet et la détection de contrefaçon sur WLANs TKIP-permis. Il a été conçu comme une troisième tentative, après deux conceptions précédentes appelées Mickey et Michelle. MIC est une différence entre les possibilités de sécurité et de consommation et d'exécution de ressource. Il fonctionne sur des points d'accès et un matériel sans fil plus anciens de client sans appliquer une sanction significative d'exécution, mais le niveau de sécurité qu'elle fournit est seulement 20 bits. Comme vous devriez comprendre à ce jour, en termes cryptographiques modernes ce n'est pas beaucoup.
Avant de discuter la différence et ses possibilités pratiques de résultats, apprenant comment les travaux MIC est utile. Le secret MIC principal se compose de 64 bits et est représenté pendant que 8-byte un ordre k0... k7. cet ordre est converti en deux petits-Endian mots de 32 bits, K0 et K1. Dans toute la conception MIC, toutes les conversions entre les bytes et les mots de 32 bits emploient les Petites-Endian conventions, parce qu'on s'attend à ce que le chiffre fonctionne sur Petit-Endian CPUs. En fait, la majorité de points d'accès a maintenant fabriqué une ligne plus ancienne morceaux d'Intel d'utilisation tels qu'i386 ou i486.
MIC opère la zone d'information, aussi bien que la source et les zones adresses de destination d'armature sans fil. L'intégrité d'IVs n'est pas protégée et la zone d'information n'est pas interprétée. Avant que le chiffre fonctionne, l'armature est capitonnée à l'extrémité avec un byte simple (valeur 0x5a), suivi de 4 à 7 bytes zéro. Le nombre de bytes zéro est choisi pour s'assurer que la longueur hors-tout de l'armature capitonnée est toujours un multiple de quatre. La remplissage n'est jamais transmise par l'armature ; elle est employée pour simplifier seulement le calcul au-dessus du bloc final. Après la remplissage, l'armature est convertie en ordre des mots de 32 bits M0... mn-1, où N = [ (n+5)/4 ]. Par conception, MN-1 = 0 et MN-2 ! = 0.
La valeur MIC est calculée commençant par la valeur principale et appliquer une fonction b de bloc pour chaque mot de message. La boucle de chiffre court un total de temps de N (I inclut 0 aux valeurs N-1), où N est le nombre de mots de 32 bits faisant vers le haut de l'armature capitonnée. L'algorithme produit deux mots (l,r), qui sont convertis en ordre de huit Petits-Endian octets, la valeur MIC :
Entrée : Clef (K0, K1) et capitonné manganèse M0 d'armature (représentée en tant que mots de 32 bits)... produit : MIC
valeur (V0, V1)
MIC < = ((K 0, K1), (M0...,mn))
(l,r) < = (K0, K1)
pour I = 0 à N-1
l < = l ^ = mille
(l,r) < = b(l, r)
retour (l,r)
La valeur MIC est apposée à l'armature comme des données à envoyer.
La fonction b de bloc employée par MIC est un algorithme minuscule de Feistel qui utilise les additions alternatives et le XORing. < < < signifie la rotation gauche et > > > indique la bonne rotation des valeurs de 32 bits, et XSWAP est une fonction qui échange la position des deux bytes moins significatifs avec la position des deux bytes les plus significatifs dans un mot :
Entrée : (l,r)
Rendement : (l,r)
b(L, R) 35
r < = r ^ = (l < < < 17)
l < = (l + r) mod 232
r < = r ^ = XSWAP(l)
l < = (l + r) mod 232
r < = r ^ = (l < < < 3)
l < = (l + r) mod 232
r < = r ^ = (l > > > 2)
l < = (l + r) mod 232
retournez (l, r)
Comme vous pouvez voir, le chiffre n'est ni sophistiqué ni fort. On l'a estimé qu'un attaquant a une chance dans million de partir furtivement dans une armature avec une charge utile compromise mais corrige MIC. L'on a pourrait arguer du fait que des dommages significatifs peuvent être faits en insérant une armature modifiée simple après 1 million d'armatures envoyées. Cependant, le vieux WEP ICV (CRC-32) est aussi bien encore employé, et doit être truqué ainsi que MIC. Ainsi, de telles attaques ne sont ni faciles ni ont une probabilité élevée de succès. Néanmoins, pour atténuer leur succès les prétendus contre-mesures de TKIP ont été présentés. Quand plus qu'une tentative simple de contrefaçon dans une seconde a été détecté, le centre serveur supprime le groupwise ou par paires la clef (selon toutes les fois qu'un unicast ou l'armature de multicast a été affecté), les deassociates, et les attentes une minute avant la rassociation. Ainsi, on élimine la possibilité d'un biscuit mauvais de Joe envoyant quelques million d'armatures modifiées au mouchard dans quelques unes d'elles non détectées.
Cependant, le même biscuit de Joe pourrait tourner désespéré et essaye d'envoyer les armatures forgées pour déclencher les contre-mesures et pour causer une attaque de DOS, utilisant pas un bogue, mais un dispositif. La possibilité de telles attaques de DOS présentées par un nouveau dispositif de sécurité a été largement discutée. Le meilleur exemple d'une telle discussion est un fil à la liste de courrier de Cryptographie (http://www.mail-archive.com/cryptographie@wasabisystems.com/msg03070.html est le premier message dans un fil). En ce fil Niels Ferguson, le créateur de MIC, questions de réponses considérant la possibilité d'une attaque de DOS maltraitant les contre-mesures MIC. En dépit du tapage autour de la probabilité de cette attaque de DOS et des imperfections des contre-mesures, une telle attaque ne pourrait pas être comme réaliste et facile de lancer l'autant de penserait. Rappelez-vous que le centre technique laissera tomber toutes les armatures d'dehors-de-ordre ; l'attaquant doit envoyer ainsi une armature avec un "futur," pourtant inutilisé, IV. Cependant, rappelez-vous que l'IV est activement employé par la fonction de génération de clef de par-paquet de TKIP. Si l'IV est changé, l'armature ne sera pas déchiffrée correctement. Puisque le CRC-32 est toujours là, il ne donnerait pas une valeur appropriée, menant à l'armature forgée étant par la suite laissée tomber. Ainsi, l'attaquant doit renifler hors des armatures valides, les supprime pour les empêcher d'atteindre le récepteur, corrompt le MIC, recalcule le CRC-32 pour refléter les changements de MIC, et puis fait suivre seulement aux armatures de la "MIC-de-Mort" la cible (de préférence toutes les 59 secondes). Bien que possible, c'est nullement un facile chargent.
Puisque le matériel 802.11i libérer-compatible final devra être optimisé pour courir AES, employer un CBC-MAC HMAC AES mettant en application comme informations parasites à sens unique serait plus pratique et bloqué qu'utilisant une certaine forme de MIC ou un sommaire bien connu de message comme SHA. Il enlèvera également tous les problèmes possibles avec MIC juste discuté. Ainsi, dans quelques cas spécifiques, il pourrait être préférable d'employer des chiffres symétriques de bloc pour la conservation de intégrité des données aussi bien que pour le chiffrage de données et l'authentification de message.
Online: 746 users browsing the articles directory
|
|